Protección contra DDoS de aplicación (capa 7)

Azure WAF incluye varios mecanismos de defensa que ayudan a evitar ataques por denegación de servicio distribuido (DDoS). Los ataques DDoS pueden tener como destino la capa de red (L3/L4) y la capa de aplicación (L7). Azure DDoS Protection le defiende frente a ataques volumétricos de capa de red de gran tamaño. Azure WAF, que funciona en el nivel 7, protege las aplicaciones web frente a ataques DDoS L7, como las inundaciones HTTP. Estas defensas impiden que los atacantes lleguen a la aplicación y afecten a la disponibilidad y el rendimiento de la aplicación.

¿Cómo puede proteger sus servicios?

Mitigue estos ataques agregando una Web Application Firewall (WAF) o colocando DDoS Protection delante del servicio para filtrar las solicitudes incorrectas. Azure ofrece WAF que se ejecuta en el borde de la red con Azure Front Door y en centros de datos con Application Gateway. Ajuste estos pasos para ajustarse a los requisitos de la aplicación.

  • Implemente Azure Web Application Firewall (WAF) con el SKU v2 de WAF de Application Gateway o Azure Front Door Premium para protegerse frente a ataques de nivel de aplicación L7.
  • Aumente el número de instancias de origen para que haya suficiente capacidad disponible.
  • Habilite Azure DDoS Protection en las direcciones IP públicas de origen para proteger las direcciones IP públicas frente a ataques DDoS de nivel 3 (L3) y de nivel 4 (L4). las ofertas de DDoS de Azure protegen automáticamente la mayoría de los sitios frente a ataques volumétricos L3 y L4 que envían un gran número de paquetes hacia un sitio web. Azure también ofrece protección de nivel de infraestructura a todos los sitios hospedados en Azure de forma predeterminada.

Azure WAF con Azure Front Door

Azure WAF incluye muchas características que puede usar para mitigar diferentes tipos de ataques, como inundaciones HTTP, omisión de caché y ataques iniciados por botnets.

  • Utilice el conjunto de reglas administradas para la protección contra bots para protegerse contra bots maliciosos conocidos. Para obtener más información, consulte la Configuración de la protección contra bots.

  • Aplique límites de frecuencia para impedir que las direcciones IP llamen a su servicio con demasiada frecuencia. Para obtener más información, consulte Limitación de velocidad.

  • Bloquee las direcciones IP y los intervalos que identifique como malintencionados. Para obtener más información, vea Restricciones de IP.

  • Bloquee o redirija a una página web estática cualquier tráfico desde fuera de una región geográfica definida o dentro de una región definida que no se ajuste al patrón de tráfico de la aplicación. Para más información, consulte Filtro geográfico.

  • Cree reglas personalizadas de WAF para bloquear automáticamente los ataques HTTP o HTTPS que tienen firmas conocidas, así como para limitar el volumen de estos. Las firmas incluyen un agente de usuario específico o un patrón de tráfico específico, como encabezados, cookies, parámetros de cadena de consulta o una combinación de varias firmas.

Además de WAF, Azure Front Door también ofrece protección contra DDoS de infraestructura de Azure predeterminada para protegerse frente a ataques DDoS L3/L4. Habilitar la caché en Azure Front Door puede ayudar a absorber picos repentinos de tráfico en el perímetro de la red y también a proteger los servidores de origen frente a ataques.

Para obtener más información sobre las características y la protección contra DDoS en Azure Front Door, consulte Protección contra DDoS en Azure Front Door.

WAF de Azure con Azure Application Gateway

Use la SKU de WAF v2 de Application Gateway, que incluye las características más recientes, como las características de mitigación de DDoS L7, para protegerse frente a ataques DDoS L7.

Puede usar SKU de WAF de Application Gateway para mitigar muchos ataques DDoS L7:

  • Establezca Application Gateway en escalabilidad automática y no aplique el número de instancias máximas.

  • Use el conjunto de reglas administrado de protección contra bots para protegerse contra bots maliciosos conocidos. Para obtener más información, consulte la Configuración de la protección contra bots.

  • Aplique límites de frecuencia para impedir que las direcciones IP llamen a su servicio con demasiada frecuencia. Para obtener más información, consulte Configuración de reglas personalizadas de límite de frecuencia.

  • Bloquee las direcciones IP y los intervalos que identifique como malintencionados. Para obtener más información, consulte ejemplos en Creación y uso de reglas personalizadas v2.

  • Bloquee o redirija a una página web estática cualquier tráfico desde fuera de una región geográfica definida o dentro de una región definida que no se ajuste al patrón de tráfico de la aplicación. Para obtener más información, consulte ejemplos en Creación y uso de reglas personalizadas v2.

  • Cree reglas personalizadas de WAF para bloquear automáticamente los ataques HTTP o HTTPS que tienen firmas conocidas, así como para limitar el volumen de estos. Las firmas incluyen un agente de usuario específico o un patrón de tráfico específico que incluye encabezados, cookies, parámetros de cadena de consulta o una combinación de varias firmas.

Otras consideraciones

  • Bloquee el acceso a direcciones IP públicas en el origen y restrinja el tráfico entrante para permitir solo el tráfico desde Azure Front Door o Application Gateway al origen. Consulte las instrucciones de Azure Front Door. Asegúrese de que no haya ninguna dirección IP expuesta públicamente en la red virtual de Application Gateway.

  • Cambie la política de WAF al modo de prevención. La implementación de la directiva en modo de detección funciona solo en el registro y no bloquea el tráfico. Después de verificar y probar su directiva de WAF con tráfico de producción y realizar ajustes para reducir los falsos positivos, cambie la directiva al modo de prevención (modo de bloqueo/defensa).

  • Supervise el tráfico mediante los registros de Azure WAF para detectar anomalías. Puede crear reglas personalizadas para bloquear cualquier tráfico infractor: direcciones IP sospechosas que envían un número inusualmente alto de solicitudes, una cadena inusual del agente de usuario, patrones anómalos de cadenas de consulta, etc.

  • Puede omitir el WAF para el tráfico legítimo conocido creando reglas personalizadas de coincidencia con la acción Permitir para reducir los falsos positivos. Configure estas reglas con una prioridad más alta (un valor numérico más bajo) que otras reglas de bloqueo y limitación de velocidad.

  • Como mínimo, tiene una regla de límite de velocidad que bloquea la alta tasa de solicitudes de cualquier dirección IP única. Por ejemplo, puede configurar una regla de límite de frecuencia para no permitir que ninguna dirección IP de cliente envíe más de XXX tráfico por ventana al sitio. Azure WAF admite dos ventanas para el seguimiento de solicitudes, una y cinco minutos. Use la ventana de cinco minutos para mitigar mejor los ataques de inundación HTTP. Esta regla debería ser la regla de prioridad más baja (la prioridad se ordenará con 1 como la prioridad más alta), de modo que se puedan crear reglas de límite de frecuencia más específicas o reglas de coincidencia para que coincidan antes de esta regla. Si usa WAF v2 de Application Gateway, puede usar otras configuraciones de limitación de velocidad para realizar un seguimiento y bloquear clientes mediante métodos distintos de la dirección IP de cliente. Puede encontrar más información sobre los límites de velocidad en WAF de Application Gateway en Información general sobre la limitación de velocidad.

    La siguiente consulta de Log Analytics puede ser útil para determinar el umbral que debe usar para la regla anterior. Para una consulta similar pero con Application Gateway, reemplácelo FrontdoorAccessLog por ApplicationGatewayAccessLog.

    AzureDiagnostics
    | where Category == "FrontdoorAccessLog"
    | summarize count() by bin(TimeGenerated, 5m), clientIp_s
    | summarize max(count_), percentile(count_, 99), percentile(count_, 95)
    
  • Las reglas administradas, aunque no están dirigidas directamente a defensas contra ataques DDoS, proporcionan protección contra otros ataques comunes. Para más información, consulte Reglas administradas (Azure Front Door) o Reglas administradas (Application Gateway) para obtener más información sobre los distintos tipos de ataques contra los que estas reglas pueden ayudarle a protegerse.

Análisis de registros de WAF

Puede analizar los registros de WAF en Log Analytics mediante la consulta siguiente.

Azure Front Door (portal de entrada de Azure)

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Para obtener más información, consulte Azure WAF con Azure Front Door.

Puerta de enlace de aplicaciones Azure

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Para obtener más información, consulte Azure WAF con Azure Application Gateway.